Nach viermonatiger Entwicklung wurde der Start von die neue Version von OpenSSH 8.2, Dies ist eine offene Client- und Server-Implementierung für die Arbeit mit den Protokollen SSH 2.0 und SFTP. EIN der wichtigsten Verbesserungen beim Start von OpenSSH 8.2 feu die Fähigkeit, Zwei-Faktor-Authentifizierung zu verwenden mit Geräten die das U2F-Protokoll unterstützen entwickelt von der FIDO-Allianz.
Mit U2F können kostengünstige Hardware-Token erstellt werden, um die physische Anwesenheit des Benutzers zu bestätigen, dessen Interaktion über USB, Bluetooth oder NFC erfolgt. Solche Geräte werden als Mittel zur Zwei-Faktor-Authentifizierung auf den Websites beworben, sind bereits mit allen gängigen Browsern kompatibel und werden von verschiedenen Herstellern hergestellt, darunter Yubico, Feitian, Thetis und Kensington.
Um mit Geräten zu interagieren, die die Anwesenheit des Benutzers bestätigen, OpenSSH hat zwei neue Schlüsseltypen hinzugefügt: "ecdsa-sk" und "ed25519-sk"., die die digitalen Signaturalgorithmen ECDSA und Ed25519 in Kombination mit dem SHA-256-Hash verwenden.
Die Verfahren zur Interaktion mit den Token wurden in eine Zwischenbibliothek übertragen. Dies wird analog zur Bibliothek für PKCS # 11-Unterstützung geladen und ist ein Link zur libfido2-Bibliothek, die die Kommunikation mit Token über USB ermöglicht (die Protokolle FIDO U2F / CTAP 1 und FIDO 2.0 / CTAP werden zwei unterstützt).
Die von den OpenSSH-Entwicklern erstellte libsk-libfido2-Zwischenbibliothekund enthält im Kernel libfido2 sowie den HID-Treiber für OpenBSD.
Für die Authentifizierung und Schlüsselgenerierung müssen Sie den Parameter "SecurityKeyProvider" in der Konfiguration angeben oder die Umgebungsvariable SSH_SK_PROVIDER festlegen und den Pfad zur externen Bibliothek libsk-libfido2.so angeben.
Es ist möglich, openssh mit integrierter Unterstützung für die Middle Layer-Bibliothek zu erstellen In diesem Fall müssen Sie den Parameter "SecurityKeyProvider = internal" setzen.
Wenn Schlüsseloperationen ausgeführt werden, ist standardmäßig eine lokale Bestätigung der physischen Anwesenheit des Benutzers erforderlich. Es wird beispielsweise empfohlen, den Sensor auf dem Token zu berühren, was es schwierig macht, Remote-Angriffe auf Systeme mit einem verbundenen Token durchzuführen .
Auf der anderen Seite die neue Version von OpenSSH kündigte auch die bevorstehende Übertragung in die Kategorie veralteter Algorithmen an, die SHA-1-Hashing verwenden. aufgrund einer Steigerung der Effizienz von Kollisionsangriffen.
Um den Übergang zu neuen Algorithmen in OpenSSH in einer kommenden Version zu erleichtern, Die UpdateHostKeys-Einstellung ist standardmäßig aktiviertDadurch werden Clients automatisch auf zuverlässigere Algorithmen umgestellt.
Es kann auch in OpenSSH 8.2 gefunden werden, Die Möglichkeit, eine Verbindung mit "ssh-rsa" herzustellen, bleibt weiterhin bestehenDieser Algorithmus wird jedoch aus der Liste CASignatureAlgorithms entfernt, in der die Algorithmen definiert sind, die für das digitale Signieren neuer Zertifikate gültig sind.
In ähnlicher Weise wurde der Algorithmus diffie-hellman-group14-sha1 aus den Standardalgorithmen für den Schlüsselaustausch entfernt.
Von den anderen Änderungen, die in dieser neuen Version auffallen:
- Zu sshd_config wurde eine include-Direktive hinzugefügt, mit der der Inhalt anderer Dateien an der aktuellen Position der Konfigurationsdatei enthalten sein kann.
- Die PublishAuthOptions-Direktive wurde zu sshd_config hinzugefügt und kombiniert verschiedene Optionen für die Authentifizierung mit öffentlichem Schlüssel.
- Die Option "-O write-attestation = / path" wurde zu ssh-keygen hinzugefügt, wodurch zusätzliche FIDO-Zertifizierungszertifikate beim Generieren von Schlüsseln geschrieben werden können.
- Die Möglichkeit, PEM für DSA- und ECDSA-Schlüssel zu exportieren, wurde zu ssh-keygen hinzugefügt.
- Es wurde eine neue ausführbare Datei für ssh-sk-helper hinzugefügt, mit der die FIDO / U2F-Tokenzugriffsbibliothek isoliert wird.
Wie installiere ich OpenSSH 8.2 unter Linux?
Für diejenigen, die daran interessiert sind, diese neue Version von OpenSSH auf ihren Systemen installieren zu können, jetzt können sie es tun Herunterladen des Quellcodes von diesem und Durchführen der Kompilierung auf ihren Computern.
Dies liegt daran, dass die neue Version noch nicht in den Repositorys der wichtigsten Linux-Distributionen enthalten ist. So erhalten Sie den Quellcode für OpenSSH 8.2. Sie können dies von der tun folgenden Link (Zum Zeitpunkt des Schreibens ist das Paket noch nicht auf den Spiegeln verfügbar und es wird erwähnt, dass es noch einige Stunden dauern kann.)
Fertig den Download, Jetzt entpacken wir das Paket mit dem folgenden Befehl:
tar -xvf openssh-8.2.tar.gz
Wir geben das erstellte Verzeichnis ein:
cd openssh-8.2
Y wir können mit kompilieren die folgenden Befehle:
./configure --prefix=/opt --sysconfdir=/etc/ssh make make install